Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Container Apps fungerar i kontexten för en miljö som kör ett eget virtuellt nätverk. När du skapar en miljö finns det några viktiga överväganden som informerar nätverksfunktionerna i dina containerappar:
Miljöval
Container Apps har två olika miljötyper som delar många av samma nätverksegenskaper med några viktiga skillnader.
| Miljötyp | Plantyper som stöds | beskrivning |
|---|---|---|
| Arbetsbelastningsprofiler | Förbrukning, dedikerad | Stöder användardefinierade vägar (UDR), utgående via NAT Gateway och skapande av privata slutpunkter i containerappmiljön. Den minsta nödvändiga undernätsstorleken är /27. |
| Endast förbrukning | Förbrukning | Stöder inte användardefinierade vägar (UDR), utgående via NAT Gateway, peering via en fjärrgateway eller annan anpassad utgång. Den minsta nödvändiga undernätsstorleken är /23. |
Mer information finns i Miljötyper.
Typ av virtuellt nätverk
Som standard är Container Apps integrerade med Azure-nätverket, som är offentligt tillgängligt via Internet och endast kan kommunicera med internettillgängliga slutpunkter. Du har också möjlighet att tillhandahålla ett befintligt VNet när du skapar din miljö i stället. När du har skapat en miljö med azure-standardnätverket eller ett befintligt virtuellt nätverk kan nätverkstypen inte ändras.
Använd ett befintligt virtuellt nätverk när du behöver Azure-nätverksfunktioner som:
- Nätverkssäkerhetsgrupper
- Integration av Application Gateway
- Integrering med Azure Firewall
- Kontroll över utgående trafik från containerappen
- Åtkomst till resurser bakom privata slutpunkter i ditt virtuella nätverk
Om du använder ett befintligt virtuellt nätverk måste du ange ett undernät som uteslutande är dedikerat till containerappmiljön som du distribuerar. Det här undernätet är inte tillgängligt för andra tjänster. Mer information finns i Konfiguration av virtuellt nätverk.
Hjälpmedelsnivå
Du kan konfigurera om din containerapp endast tillåter offentlig ingress eller ingress från ditt virtuella nätverk på miljönivå.
| Hjälpmedelsnivå | beskrivning |
|---|---|
| Externt | Tillåter att containerappen accepterar offentliga begäranden. Externa systemmiljöer distribueras med en virtuell IP-adress på en offentlig och externt tillgänglig IP-adress. |
| Internt | Interna miljöer har inga offentliga slutpunkter och distribueras med en virtuell IP-adress (VIP) mappad till en intern IP-adress. Den interna slutpunkten är en intern Azure-lastbalanserare (ILB) och IP-adresser utfärdas från det befintliga virtuella nätverkets lista över privata IP-adresser. |
Åtkomst till offentligt nätverk
Inställningen för åtkomst till offentligt nätverk avgör om containerappmiljön är tillgänglig från det offentliga Internet. Om du kan ändra den här inställningen när du har skapat din miljö beror på miljöns virtuella IP-konfiguration. I följande tabell visas giltiga värden för åtkomst till offentligt nätverk, beroende på miljöns virtuella IP-konfiguration.
| Virtuell IP-adress | Offentlig nätverksåtkomst som stöds | beskrivning |
|---|---|---|
| Externt |
Enabled, Disabled |
Containerappmiljön skapades med en Internettillgänglig slutpunkt. Inställningen för åtkomst till offentligt nätverk avgör om trafik accepteras via den offentliga slutpunkten eller endast via privata slutpunkter, och inställningen för åtkomst till det offentliga nätverket kan ändras när du har skapat miljön. |
| Internt | Disabled |
Containerappmiljön skapades utan en Internettillgänglig slutpunkt. Det går inte att ändra åtkomstinställningen för offentligt nätverk för att acceptera trafik från Internet. |
För att kunna skapa privata slutpunkter i din Azure Container App-miljö måste åtkomsten till det offentliga nätverket vara inställd på Disabled.
Azure-nätverksprinciper stöds med åtkomstflaggan för offentliga nätverk.
Ingresskonfiguration
Under ingressavsnittet kan du konfigurera följande inställningar:
Ingress: Du kan aktivera eller inaktivera ingress för din containerapp.
Inkommande trafik: Du kan acceptera trafik till containerappen var du än befinner dig, eller så kan du begränsa den till trafik från samma Container Apps-miljö.
Regler för trafikdelning: Du kan definiera regler för trafikdelning mellan olika revisioner av ditt program. Mer information finns i Trafikdelning.
För mer information om olika nätverksscenarier, se Ingress i Azure Container Apps.
Inkommande funktioner
| Funktion | Lär dig hur du gör |
|---|---|
|
Inledning Konfigurera ingress |
Kontrollera routningen av extern och intern trafik till containerappen. |
| Premium-ingress | Konfigurera avancerade ingressinställningar, till exempel stöd för arbetsbelastningsprofil för inkommande och inaktiv timeout. |
| IP-begränsningar | Begränsa inkommande trafik till din containerapp efter IP-adress. |
| Autentisering av klientcertifikat | Konfigurera klientcertifikatautentisering (kallas även ömsesidig TLS eller mTLS) för din containerapp. |
|
Trafikdelning Blå/grön distribution |
Dela inkommande trafik mellan aktiva versioner av din containerapplikation. |
| Sessionstillhörighet | Dirigera alla begäranden från en klient till samma replik av containerappen. |
| Resursdelning mellan ursprung (CORS) | Aktivera CORS för din containerapp, vilket tillåter begäranden som görs via webbläsaren till en domän som inte matchar sidans ursprung. |
| Sökvägsbaserad routning | Använd regler för att dirigera begäranden till olika containerappar i din miljö, beroende på sökvägen för varje begäran. |
| Virtuella nätverk | Konfigurera det virtuella nätverket för containerappmiljön. |
| DNS | Konfigurera DNS för containerappmiljöns virtuella nätverk. |
| Privat slutpunkt | Använd en privat slutpunkt för att få säker åtkomst till din Azure Container App utan att exponera den för det offentliga Internet. |
| Integrera med Azure Front Door | Anslut direkt från Azure Front Door till dina Azure Container Apps med hjälp av en privat länk i stället för det offentliga Internet. |
Utgående funktioner
| Funktion | Lär dig hur du gör |
|---|---|
| Använda Azure Firewall | Använd Azure Firewall för att styra utgående trafik från containerappen. |
| Virtuella nätverk | Konfigurera det virtuella nätverket för containerappmiljön. |
| Skydda ett befintligt VNet med en NSG | Skydda containerappmiljöns virtuella nätverk med en nätverkssäkerhetsgrupp (NSG). |
| NAT-gatewayintegration | Använd NAT Gateway för att förenkla utgående Internetanslutning i ditt virtuella nätverk i en miljö för arbetsbelastningsprofiler. |
Handledningar
| Handledning | Lär dig hur du gör |
|---|---|
| Använda ett virtuellt nätverk | Använd ett virtuellt nätverk. |
| Konfigurera WAF Application Gateway | Konfigurera en WAF-applikationsgateway. |
| Aktivera användardefinierade vägar (UDR) | Aktivera användardefinierade vägar (UDR). |
| Använd Mutual Transport Layer Security (mTLS) | Skapa ett mTLS-program i Azure Container Apps. |
| Använda en privat slutpunkt | Använd en privat slutpunkt för att få säker åtkomst till din Azure Container App utan att exponera den för det offentliga Internet. |
| Integrera med Azure Front Door | Anslut direkt från Azure Front Door till dina Azure Container Apps med hjälp av en privat länk i stället för det offentliga Internet. |
Miljösäkerhet
Du kan skydda arbetsbelastningsprofilerna för inkommande och utgående nätverkstrafik helt genom att vidta följande åtgärder:
Skapa din interna containerappmiljö i en miljö för arbetsbelastningsprofiler. Anvisningar finns i Hantera arbetsbelastningsprofiler med Azure CLI.
Integrera dina Container Apps med en Application Gateway.
Konfigurera UDR för att dirigera all trafik via Azure Firewall.
HTTP-proxybeteende vid nätverkets kant
Azure Container Apps använder en EDGE HTTP-proxy som avslutar TLS (Transport Layer Security) och dirigerar begäranden till varje program.
HTTP-program skalas baserat på antalet HTTP-begäranden och anslutningar. Envoy dirigerar trafik inom kluster.
Nedströmsanslutningar stöder HTTP1.1 och HTTP2 och Envoy identifierar och uppgraderar automatiskt anslutningar om klientanslutningen kräver en uppgradering.
Uppströmsanslutningar definieras genom att ange transport egenskapen på ingressobjektet.
Portalberoenden
För varje app i Azure Container Apps finns det två URL:er.
Container Apps-körningen genererar ursprungligen ett fullständigt domännamn (FQDN) som används för att komma åt din app. Se Applikations-URL i Översiktsfönstret för containerappen i Azure Portal för containerappens FQDN.
En andra URL genereras också åt dig. Den här platsen ger åtkomst till loggströmningstjänsten och konsolen. Om det behövs kan du behöva lägga https://azurecontainerapps.dev/ till i listan över tillåtna brandväggar eller proxyservrar.
Portar och IP-adresser
Följande portar exponeras för inkommande anslutningar.
| Protokoll | Portar |
|---|---|
| HTTP/HTTPS | 80, 443 |
IP-adresser är uppdelade i följande typer:
| Typ | beskrivning |
|---|---|
| Offentlig inkommande IP-adress | Används för programtrafik i en extern distribution och hanteringstrafik i både interna och externa distributioner. |
| Utgående offentlig IP-adress | Används som "från"-IP för utgående anslutningar som lämnar det virtuella nätverket. De här anslutningarna dirigeras inte ned från ett VPN. Utgående IP-adresser kan ändras med tiden. Användning av en NAT-gateway eller annan proxy för utgående trafik från en Container Apps-miljö stöds endast i en miljö för arbetsbelastningsprofiler. |
| Ip-adress för intern lastbalanserare | Den här adressen finns bara i en intern miljö. |